【編者按】
本講義由上海國瓴律師事務所名譽主任、上海交通大學網絡空間治理研究中心主任壽步教授撰寫,內容取材於2016年11月我國網絡安全法發布以來至2023年2月底期間的相關規範性文件,權威性高,實用性強,可供關心網絡安全法律政策的讀者閱讀。連載共13篇。
目錄
第六節 個人信息的查詢、更正、刪除規則
一、相關規定
關於個人信息的刪除和更正,網絡安全法第四十三條規定:“個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。”民法典第一千零三十七條規定:“自然人可以依法向信息處理者查閱或者複制其個人信息;發現信息有錯誤的,有權提出異議並請求及時采取更正等必要措施。
自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,有權請求信息處理者及時刪除。”
第一千零三十八條 信息處理者不得泄露或者篡改其收集、存儲的個人信息;未經自然人同意,不得向他人非法提供其個人信息,但是經過加工無法識別特定個人且不能複原的除外。
信息處理者應當采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失;發生或者可能發生個人信息泄露、篡改、丟失的,應當及時采取補救措施,按照規定告知自然人並向有關主管部門報告。
《個人信息保護法》“第四章 個人在個人信息處理活動中的權利”部分,規定如下:
【知情權、決定權、限制權、拒絕權】第四十四條 個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。
【查閱權和複制權】第四十五條 個人有權向個人信息處理者查閱、複制其個人信息;有本法第十八條第一款、第三十五條規定情形的除外。
個人請求查閱、複制其個人信息的,個人信息處理者應當及時提供。
個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。
【更正權】第四十六條 個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充。
個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,並及時更正、補充。
【刪除權】第四十七條 有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除:
(一)處理目的已實現、無法實現或者為實現處理目的不再必要;
(二)個人信息處理者停止提供產品或者服務,或者保存期限已屆滿;
(三)個人撤回同意;
(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;
(五)法律、行政法規規定的其他情形。
法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。
【解釋權】第四十八條 個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。
【死者個人信息權利】 第四十九條 自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使本章規定的查閱、複制、更正、刪除等權利;死者生前另有安排的除外。
【請求權處理機制】第五十條 個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。
二、個人信息查詢
《個人信息安全規範》在“8 個人信息主體的權利”部分,有如下規定:
“8.1 個人信息查詢
個人信息控制者應向個人信息主體提供查詢下列信息的方法:
a) 其所持有的關於該主體的個人信息或個人信息的類型;
b) 上述個人信息的來源、所用於的目的;
c) 已經獲得上述個人信息的第三方身份或類型;
注:個人信息主體提出查詢非其主動提供的個人信息時,個人信息控制者可在綜合考量不響應請求可能對個人信息主體合法權益帶來的風險和損害,以及技術可行性、實現請求的成本等因素後,作出是否響應的決定,並給出解釋說明。”
三、個人信息更正
《個人信息安全規範》“8 個人信息的權利”項下對個人信息更正規定如下:
“8.2 個人信息更正
個人信息主體發現個人信息控制者所持有的該主體的個人信息有錯誤或不完整的,個人信息控制者應為其提供請求更正或補充信息的方法。”
四、個人信息刪除
《個人信息安全規範》“8 個人信息主體的權利”部分,有如下規定:
“8.3 個人信息刪除
對個人信息控制者的要求包括:
a) 符合以下情形,個人信息主體要求刪除的,應及時刪除個人信息:
1)個人信息控制者違反法律法規規定,收集、使用個人信息的;
2)個人信息控制者違反與個人信息主體的約定,收集、使用個人信息的。
b) 個人信息控制者違反法律法規規定或違反與個人信息主體的約定向第三方共享、轉讓個人信息,且個人信息主體要求刪除的,個人信息控制者應立即停止共享、轉讓的行為,並通知第三方及時刪除。
c) 個人信息控制者違反法律法規規定或違反與個人信息主體的約定,公開披露個人信息的,且個人信息主體要求刪除的,個人信息控制者應立即停止公開披露的行為,並發布通知要求相關接收方刪除相應的信息。”
五、個人信息主體撤回授權同意
《個人信息安全規範》在“8 個人信息主體的權利”部分,有如下規定:
“8.4 個人信息主體撤回授權同意
對個人信息控制者的要求包括:
a) 應向個人信息主體提供撤回收集、使用其個人信息的授權同意的方法。撤回授權同意後,個人信息控制者後續不應再處理相應的個人信息;
b) 應保障個人信息主體拒絕接收基於其個人信息推送商業廣告的權利。對外共享、轉讓、公開披露個人信息,應向個人信息主體提供撤回授權同意的方法。
注:撤回授權同意不影響基於授權同意的個人信息處理。”
六、個人信息主體注銷賬戶
《個人信息安全規範》在“8 個人信息主體的權利”部分,有如下規定:
“8.5 個人信息主體注銷賬戶
對個人信息控制者的要求包括:
a) 通過注冊賬戶提供產品或服務的個人信息控制者,應向個人信息主體提供注銷賬戶的方法,且方法簡便易操作;
b) 受理注銷賬戶請求後,需要人工處理的,應在承諾時限內(不超過15個工作日)完成核查和處理;
c) 注銷過程如需進行身份核驗,要求個人信息主體再次提供的個人信息類型不應多於注冊、使用等服務環節收集的個人信息類型;
d) 注銷過程不應設置不合理的條件或提出額外要求增加個人信息主體義務,如注銷單個賬戶視同注銷多個產品或服務,要求個人主體填寫精確的曆史操作記錄作為注銷的必要條件等;
注1:多個產品或服務之間存在必要業務關聯關系的,例如,一旦注銷某個產品或服務的賬戶,將會導致其他產品或服務的必要業務功能無法實現或者服務質量明顯下降的,需向個人信息主體進行詳細說明。
注2:產品或服務沒有獨立的賬戶體系的,可采取對該產品或服務賬號以外其他個人信息進行刪除,並切斷賬戶體系與產品或服務的關聯等措施實現注銷。
e) 注銷賬戶的過程需收集個人敏感信息核驗身份時,應明確對收集個人敏感信息後的處理措施,如達成目的後立即刪除或匿名化處理等;
f) 個人信息主體注銷賬戶後,應及時刪除其個人信息或匿名化處理。因法律法規規定需要留存個人信息的,不能再次將其用於日常業務活動中。
七、個人信息主體獲取個人信息副本
《個人信息安全規範》在“8 個人信息主體的權利”項下規定個人信息主體獲取個人信息副本的規則:
“8.6個人信息主體獲取個人信息副本
根據個人信息主體的請求,個人信息控制者宜為個人信息主體提供獲取以下類型個人信息副本的方法,或在技術可行的前提下直接將以下類型個人信息的副本傳輸給個人信息主體指定的第三方:
a) 本人的基本資料、身份信息;
b) 本人的健康生理信息、教育工作信息。”
八、響應個人信息主體的請求
《個人信息安全規範》在“8 個人信息主體的權利”部分,有如下規定:
“8.7 響應個人信息主體的請求
對個人信息控制住的要求包括:
a) 在驗證個人信息主體身份後,應及時響應個人信息主體基於8.1-8.6提出的請求,應在三十天內或法律法規規定的期限內作出答複及合理解釋,並告知個人信息主體外部糾紛解決途徑;
b) 采用交互式頁面(如網站、移動互聯網應用程序、客戶端軟件等)提供產品或服務的,宜直接設置便捷的交互式頁面提供功能或選項,便於個人信息主體在線行使其訪問、更正、刪除、撤回授權同意、注銷賬戶等權利;
c) 對合理的請求原則上不收取費用,但對一定時期內多次重複的請求,可視情況收取一定成本費用;
d) 直接實現個人信息主體的請求需要付出高額成本或存在其他顯著困難的,個人信息控制者應向個人信息主體提供替代方法,以保障個人信息主體的合法權益;
e) 以下情形可不響應個人信息主體基於8.1-8.6提出的請求,包括:
1) 與個人信息控制者履行法律法規規定的義務相關的;
2)與國家安全、國防安全直接相關的;
3)與公共安全、公共衛生、重大公共利益直接相關的;
4)與刑事偵查、起訴、審判和執行判決等直接相關的;
5)個人信息控制者有充分證據表明個人信息主體存在主觀惡意或濫用權利的;
6)出於維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人授權同意的;
7)響應個人信息主體的請求將導致個人信息主體或其他個人、組織的合法權益受到嚴重損害的;
8)涉及商業秘密的。
f) 如決定不響應個人信息主體的請求,應向個人信息主體告知該決定的理由,並向個人信息主體提供投訴的途徑。”
九、投訴管理
《個人信息安全規範》在“8 個人信息主體的權利”部分,有如下規定:
“8.8 投訴管理
個人信息控制者應建立投訴管理機制和投訴跟蹤流程,並在合理的時間內對投訴進行響應。”
第七節 App收集使用個人信息治理
一、App收集使用個人信息治理進程
App運營者作為典型的網絡運營者,在其收集、使用個人信息時,應當遵守《網絡安全法》等法律法規有關個人信息保護的要求。但目前,移動互聯網應用程序(App)強制授權、過度索權、超範圍收集個人信息的問題嚴重,亟待治理。
2019年1月23日,中央網信辦、工業和信息化部、公安部、市場監管總局發布《關於開展App違法違規收集使用個人信息專項治理的公告》,決定自2019年1月至12月,在全國範圍組織開展App違法違規收集使用個人信息專項治理。
2019年3月1日,信安標委、中國消費者協會、中國互聯網協會、中國網絡空間安全協會組成的App專項治理工作組,結合2017年和2018年“隱私條款專項評審”等工作經驗,對外發布了《App違法違規收集使用個人信息自評估指南》技術文件,提出評估點,App運營者可參照該指南對其收集使用個人信息的情況進行自查自糾,主動提升個人信息保護水平。
2019年3月13日,市場監管總局、中央網信辦發布《關於開展App安全認證工作的公告》,並附《移動互聯網應用程序(App)安全認證實施規則》,以鼓勵App運營者主動進行App安全認證,規範App收集使用個人信息的行為。
2019年12月30日,中央網信辦、工信部、公安部、市場監管總局聯合制定的《App違法違規收集使用個人信息行為認定方法》正式發布,認定方法的內容結合了一年來關於App違法違規收集使用個人信息檢測評估工作的經驗和規律,為監督管理部門認定App違法違規收集使用個人信息行為提供參考,為App運營者自查自糾和網民社會監督提供指引。
2020年1月15日,信安標委發布《信息安全技術 移動互聯網應用程序(App)收集個人信息基本規範(征求意見稿)》,其中明確了App收集個人信息時應滿足的基本要求,用於規範移動互聯網應用運營者收集個人信息的行為。特別是對“常用服務類型的最小必要信息”給出了詳盡列舉。
2020年1月20日,信安標委發布《信息安全技術 個人信息告知同意指南(征求意見稿)》,為網絡運營者個人信息處理告知的內容、結構及征得個人信息主體同意收集、使用、對外提供個人信息的方式提供指導。其亦適用於規範網絡運營者在網絡環境中進行個人信息告知同意的情形。
2020年5月25日,App專項治理工作組發布《APP 違法違規收集使用個人信息專項治理報告(2019)》。報告介紹了治理工作開展情況,包括技術規範制定、舉報信息受理、專業機構檢測評估、問題督促整改及處置,以及四部門全面推進深化治理等。報告引用多方數據,客觀分析了個人信息保護相關突出問題、企業能力、民眾意識、社會影響等方面的發展變化趨勢,展示了治理工作成效。在總結 2019 年治理工作經驗的基礎上,就持續開展治理工作、培育良好移動互聯網生態,提出了具體建議。
2020年7月22日,中央網信辦、工信部、公安部、國家市場監管總局四部門在京召開會議,啟動2020年App違法違規收集使用個人信息治理工作。
2020年12月1日,國家互聯網信息辦公室發布《常見類型移動互聯網應用程序(App)必要個人信息範圍(征求意見稿)》。該文件規定了地圖導航、網絡約車、即時通信等38類常見類型App必要個人信息範圍。必要個人信息是指保障App基本功能正常運行所必須的個人信息,缺少該信息App無法提供基本功能服務。只要用戶同意收集必要個人信息,App不得拒絕用戶安裝使用。
2021年3月12日,為貫徹落實《網絡安全法》關於“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則”“網絡運營者不得收集與其提供的服務無關的個人信息”等規定,國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合制定了《常見類型移動互聯網應用程序必要個人信息範圍規定》,明確移動互聯網應用程序(App)運營者不得因用戶不同意收集非必要個人信息,而拒絕用戶使用App基本功能服務。
2021年4月19日,信安標委發布《信息安全技術 移動互聯網應用程序(APP)個人信息安全測評規範(征求意見稿)》、《信息安全技術 移動互聯網應用程序(APP)SDK安全指南(征求意見稿)》兩項國家標準的征求意見稿。
《APP個人信息安全測評規範》作為支撐GB/T 35273-2020《信息安全技術 個人信息安全規範》在移動互聯網應用程序(App)方面的實施,針對App個人信息安全測評標準和尺度不一致等問題,綜合考慮GB/T 35273-2020《信息安全技術 個人信息安全規範》和相關要求,結合App實現自身業務功能的過程中涉及的個人信息收集、傳輸、存儲、處理、交換、銷毀等環節,規定了依據GB/T 35273—2020《信息安全技術 個人信息安全規範》開展App個人信息安全測評的實施過程以及對各項具體安全要求進行測評的方法,為第三方測評機構在對App的個人信息安全進行測評時提供指導,也可供App提供者開展App個人信息安全自評時作為參考。《APP SDK安全指南》旨在遏制SDK的惡意行為、安全漏洞、違法違規收集用戶個人信息的亂象,最大程度地保障App提供者、SDK提供者和最終用戶的利益,促進移動互聯網應用SDK行業的健康綠色發展。安全指南旨在解決如下主要問題:SDK的代碼開發安全問題;SDK的運營管理安全問題;SDK對個人信息處理的安全問題。安全指南可作為SDK提供者的安全實踐指導,也可能作為主管監管部門、第三方評估機構監督、管理和評估的依據。
2021年4月21日,為了保障網絡用戶正常使用移動互聯網應用程序,引導移動互聯網應用程序啟動屏廣告規範發展,中國廣告協會、中國互聯網協會研究起草的《移動互聯網應用程序(APP)啟動屏廣告行為規範(征求意見稿)》發布。規範適用於利用APP啟動屏發布商業廣告的行為。
2021年4月26日,為強化App個人信息保護管理的系統性、整體性和協同性,在總結專項治理工作經驗基礎上,在國家互聯網信息辦公室的統籌指導下,工信部會同公安部、市場監管總局起草的《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》)發布。該稿共計二十條,界定了適用範圍和監管主體;確立了“知情同意”“最小必要”兩項重要原則;細化了App開發運營者、分發平臺、第三方服務提供者、終端生產企業、網絡接入服務提供者五類主體責任義務;提出了投訴舉報、監督檢查、處置措施、風險提示等四方面規範要求。
此外,信安標委秘書處組織制定和發布了一系列標準相關技術文件《網絡安全標準實踐指南》,旨在圍繞網絡安全法律法規政策、標準、網絡安全熱點和事件等主題,宣傳網絡安全相關標準及知識,提供標準化實踐指引。例如:
2020年3月20日,信安標委秘書處發布《網絡安全標準實踐指南—移動互聯網應用程序(App)個人信息安全防範指引(征求意見稿)》。該實踐指南依據法律法規和政策標準要求,基於相關評估工具數據統計和近期疫情防控App發現的問題,給出了當前App個人信息保護合規的常見問題和防範策略,建議App (含小程序)運營者和疫情防控App參考本實踐指南,采取相應措施持續提升個人信息保護水平。
2020年7月22日,信安標委秘書處發布《網絡安全標準實踐指南 移動互聯網應用程序(App)收集使用個人信息自評估指南》。在2019年3月1日App專項治理工作組發布的《App違法違規收集使用個人信息自評估指南》的基礎上,依據《網絡安全法》等法律法規要求,參照四部委制定的《App違法違規收集使用個人信息行為認定方法》和相關國家標準,結合檢測評估工作經驗,《實踐指南》歸納總結了App收集使用個人信息的六項評估點,供App運營者自評估參考使用,小程序、快應用等運營者也可參考其中的適用條款進行自評估。
2020年9月18日,信安標委秘書處發布《網絡安全標準實踐指南—移動互聯網應用程序(App)系統權限申請使用指南》。該實踐指南依據法律法規和政策標準要求,針對App申請使用系統權限存在的強制、頻繁、過度索權,以及捆綁授權、私自調用權限上傳個人信息、敏感權限濫用等典型問題,給出了App申請使用系統權限的基本原則和安全要求,建議App 提供者參考本實踐指南規範App系統權限申請和使用行為, 防範因系統權限不當利用造成的個人信息安全風險。
2020年9月18日,信安標委秘書處發布《網絡安全標準實踐指南—移動互聯網應用程序(App)個人信息保護常見問題及處置指南》。該實踐指南依據法律法規和政策標準要求,針對App存在的超範圍收集、強制索權、頻繁索權、未同步告知收集目的等問題,基於對相關問題出現頻率的統計,給出了當前App 個人信息保護十大常見問題和處置指南,建議App運營者參考本實踐指南防範和處置相關問題。其適用於App運營者防範和處置個人信息保護常見問題,也可為App開發者、移動互聯網應用分發平臺運營者和移動智能終端廠商提供參考。
2020年11月27日,信安標委秘書處發布《網絡安全標準實踐指南—移動互聯網應用程序(App)使用軟件開發工具包(SDK)安全指引》。針對當前App使用SDK過程中存在的SDK自身安全漏洞、SDK惡意行為、SDK違法違規收集App用戶的個人信息問題,結合當前移動互聯網技術及應用現狀,該實踐指南給出了App提供者、SDK提供者針對SDK安全問題的實踐指引。
從2020年11月至2021年1月,電信終端產業協會(英文縮寫為TAF)的官網(http://www.taf.org.cn/)先後三次發布並實施團體標準《APP收集使用個人信息最小必要評估規範》系列的17份文件。這些文件是:
T/TAF 077.1-2020 APP收集使用個人信息最小必要評估規範 總則
T/TAF 077.2-2020 APP收集使用個人信息最小必要評估規範 位置信息
T/TAF 077.3-2020 APP收集使用個人信息最小必要評估規範 圖片信息
T/TAF 077.4-2020 APP收集使用個人信息最小必要評估規範 終端通訊錄
T/TAF 077.5-2020 APP收集使用個人信息最小必要評估規範 設備信息
T/TAF 077.6-2020 APP收集使用個人信息最小必要評估規範 軟件列表
T/TAF 077.7-2020 APP收集使用個人信息最小必要評估規範 人臉信息
T/TAF 077.8-2020 APP收集使用個人信息最小必要評估規範 錄像信息
T/TAF 077.9-2020 APP收集使用個人信息最小必要評估規範 短信信息
T/TAF 077.10-2020 APP收集使用個人信息最小必要評估規範 錄音信息
T/TAF 077.11-2020 APP收集使用個人信息最小必要評估規範 通話信息
T/TAF 077.12-2020 APP收集使用個人信息最小必要評估規範 好友列表
T/TAF 077.13-2020 APP收集使用個人信息最小必要評估規範 傳感器信息
T/TAF 077.14-2020 APP收集使用個人信息最小必要評估規範 應用日志信息
T/TAF 077.15-2020 APP收集使用個人信息最小必要評估規範 房產信息
T/TAF 077.16-2020 APP收集使用個人信息最小必要評估規範 交易記錄
T/TAF 077.17-2020 APP收集使用個人信息最小必要評估規範 身份信息
二、App違法違規收集使用個人信息行為認定方法
“一、以下行為可被認定為“未公開收集使用規則”
1.在App中沒有隱私政策,或者隱私政策中沒有收集使用個人信息規則;
2.在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則;
3.隱私政策等收集使用規則難以訪問,如進入App主界面後,需多於4次點擊等操作才能訪問到;
4.隱私政策等收集使用規則難以閱讀,如文字過小過密、顏色過淡、模糊不清,或未提供簡體中文版等。
二、以下行為可被認定為“未明示收集使用個人信息的目的、方式和範圍”
1.未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、範圍等;
2.收集使用個人信息的目的、方式、範圍發生變化時,未以適當方式通知用戶,適當方式包括更新隱私政策等收集使用規則並提醒用戶閱讀等;
3.在申請打開可收集個人信息的權限,或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時,未同步告知用戶其目的或者目的不明確、難以理解;
4.有關收集使用規則的內容晦澀難懂、冗長繁瑣,用戶難以理解,如使用大量專業術語等。
三、以下行為可被認定為“未經用戶同意收集使用個人信息”
1.征得用戶同意前就開始收集個人信息或打開可收集個人信息的權限;
2.用戶明確表示不同意後,仍收集個人信息或打開可收集個人信息的權限,或頻繁征求用戶同意、幹擾用戶正常使用;
3.實際收集的個人信息或打開的可收集個人信息權限超出用戶授權範圍;
4.以默認選擇同意隱私政策等非明示方式征求用戶同意;
5.未經用戶同意更改其設置的可收集個人信息權限狀態,如App更新時自動將用戶設置的權限恢複到默認狀態;
6.利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項;
7.以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限,如故意欺瞞、掩飾收集使用個人信息的真實目的;
8.未向用戶提供撤回同意收集個人信息的途徑、方式;
9.違反其所聲明的收集使用規則,收集使用個人信息。
四、以下行為可被認定為“違反必要原則,收集與其提供的服務無關的個人信息”
1.收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關;
2.因用戶不同意收集非必要個人信息或打開非必要權限,拒絕提供業務功能;
3.App新增業務功能申請收集的個人信息超出用戶原有同意範圍,若用戶不同意,則拒絕提供原有業務功能,新增業務功能取代原有業務功能的除外;
4.收集個人信息的頻度等超出業務功能實際需要;
5.僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,強制要求用戶同意收集個人信息;
6.要求用戶一次性同意打開多個可收集個人信息的權限,用戶不同意則無法使用。
五、以下行為可被認定為“未經同意向他人提供個人信息”
1.既未經用戶同意,也未做匿名化處理,App客戶端直接向第三方提供個人信息,包括通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個人信息;
2.既未經用戶同意,也未做匿名化處理,數據傳輸至App後臺服務器後,向第三方提供其收集的個人信息;
3.App接入第三方應用,未經用戶同意,向第三方應用提供個人信息。
六、以下行為可被認定為“未按法律規定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”
1.未提供有效的更正、刪除個人信息及注銷用戶賬號功能;
2.為更正、刪除個人信息或注銷用戶賬號設置不必要或不合理條件;
3.雖提供了更正、刪除個人信息及注銷用戶賬號功能,但未及時響應用戶相應操作,需人工處理的,未在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)完成核查和處理;
4.更正、刪除個人信息或注銷用戶賬號等用戶操作已執行完畢,但App後臺並未完成的;
5.未建立並公布個人信息安全投訴、舉報渠道,或未在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)受理並處理的。”
第八節 案例介紹
一、App收集使用個人信息治理進程
案例類型:法院一審判決
審理法院:北京市朝陽區人民法院
案號:(2018)京0105民初36658號
裁判日期:2018.12.29
相關法條:網絡安全法第四十條、第四十一條、第四十二條、第四十五條、第七十四條,《民法總則》第一百一十一條,《侵權責任法》第三十七條,《民事訴訟法》第二百五十三條
(一)案情簡介
2017年8月9日,申某通過攜程公司手機APP平臺訂購了兩張聯程航班機票。8月10日,申某收到+85295672718號碼向申某在攜程注冊賬號及訂購涉案機票所留手機號發送的短信,短信內容為:航班因起落架故障已被取消,請及時致電客服辦理改簽或退票。申某稱其按照短信提示撥打了“客服電話”,“客服”準確地說出了乘機人的相關信息,並再次告知申某因航班取消需退款1250元。後申某在辦理所謂“退款”的過程中,又再次被騙開通並使用支付寶親密付功能及工商銀行網上銀行轉賬,向對方付款19008.99元和99976元。8月10日,申某向北京市公安局朝陽分局大屯派出所報案。8月11日,申某被詐騙一案刑事立案,截至本案一審辯論終結前該刑事案件尚未偵破。
申某提起訴訟,請求判令:1、二被告連帶承擔經濟損失118900元;2、二被告連帶承擔精神損害撫慰金10000元並以公開方式賠禮道歉。
攜程公司辯稱:不同意申某的全部訴訟請求。攜程公司不存在任何過錯,不存在侵權行為。(1)攜程公司並非唯一獲取申某信息的民事主體,且申某不能證明是攜程公司泄露了申某的個人信息。(2)攜程公司已盡到信息保密義務。(3)申某個人存在重大過失,沒有盡到謹慎注意義務。申某損失的直接原因是刑事詐騙,應由刑事案件處理後追回被詐騙的款項。
支付寶公司辯稱:不同意申某的全部訴訟請求。(1)支付寶的親密付功能系申某自行開通。支付寶公司已經將支付方式的風險充分提示給用戶,支付寶公司只能進行形式審查。(2)支付寶軟件不存在漏洞,支付寶公司在親密付開通的過程中已經盡到了充分的告知義務。(3)支付寶公司提供親密付功能的行為與申某的損失不具備直接的因果關系。(4)申某要求支付寶公司和攜程公司承擔連帶責任,不具有事實和法律依據。(5)申某主張的精神損失不具有法律依據。
(二)法院認為
根據《侵權責任法》第三十七條,《民法總則》第一百一十一條,網絡安全法第四十條、第四十一條、第四十二條、第四十三條、第七十四條的規定,自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。網絡運營者對網絡用戶的個人信息負有安全保障的法定義務,具體包括:嚴格保密信息並健全用戶信息保護制度;合規收集和使用信息;采取必要技術等相關措施,確保收集的個人信息安全;管理機構和人員須盡職管理的保障義務等用戶信息安全保障義務。
爭議焦點一,申某在攜程公司訂購機票過程中產生的信息是否屬於民法所保護的申某的個人信息。對個人信息的保護而言,重點在於信息與信息主體身份之間的識別關系。申某的手機號和機票行程信息可以與信息主體申某個人進行匹配與識別,符合個人信息識別能度的根本特征,據此,申某被泄露的上述諸信息為民法所保護。
爭議焦點二,申某的個人信息是否為攜程公司所泄露,攜程公司是否盡到了對申某訂購機票信息的安全保障義務,應否承擔民事責任。基於涉案個人信息被短時間泄露等時空背景條件,本院認定攜程公司作為消費者所直接面對的第一手完整信息保管者存在泄露申某涉案個人信息的高度可能。本案中,申某對個人信息泄露已完成舉證。攜程公司應就其對申某的個人信息泄露無故意或過失之事實負舉證責任。但從現有證據看,攜程公司在信息安全管理的落實方面存在漏洞,未盡到對個人信息負有的信息保管及防止泄露義務,具有過錯,應承擔侵權責任。
爭議焦點三,支付寶公司對申某的銀行卡賬戶資金通過支付寶公司親密付功能支出所發生的損失是否應承擔民事責任。申某因受騙先後開通了支付寶親密付功能和工商銀行手機銀行功能並轉款,雖然支付寶親密付的授權消費對象沒有實名制,但在手機銀行功能存在實名制以及支付寶、手機銀行均對申某進行了開通提示的情況下,申某仍完成了轉賬行為。可見,申某受騙原因是其過於輕信和輕率,與是否實名制及是否盡到風險提示義務並無直接因果關系。故在本案中申某請求支付寶公司承擔侵權責任,本院不予支持。
爭議焦點四,申某被詐騙的刑事立案是否影響本案作為民事糾紛的受理。案外人因實施詐騙犯罪形成的刑事法律關系與基於違反安全保障義務形成的民事侵權法律關系顯屬兩種不同的法律關系。本案作為民事案件,無須以刑事案件的處理結果為依據。故本案以民事糾紛受理符合法律規定。
(三)裁判結果
一、被告上海攜程商務有限公司於本判決生效後十日內賠償原告申某經濟損失5萬元;
二、被告上海攜程商務有限公司於本判決生效後十日內向原告申某出具書面道歉聲明,向其賠禮道歉(書面聲明內容需經本院核準,如被告上海攜程商務有限公司拒不履行該義務,本院將在全國公開發行的媒體上公布本判決的主要內容,費用由被告上海攜程商務有限公司負擔);
三、駁回原告申某的其他訴訟請求。
二、奧音科技(鎮江)有限公司與鎮江市超速計算機科技網絡有限責任公司網絡侵權責任糾紛案
案例類型:法院一審判決
審理法院:江蘇省鎮江經濟開發區人民法院
案號:(2018)蘇1191民初3023號
裁判日期:2018.12.24
相關法條:網絡安全法第四十二條第一款,《侵權責任法》第三十六條,《最高人民法院關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若幹問題的規定》第九條,《民事訴訟法》第一百四十二條、第一百四十四條
(一)案情簡介
網民“大港大統華”在被告鎮江市超速計算機科技網絡有限責任公司經營管理的夢溪論壇(××)“茶餘飯後”版塊先後發布標題為“大港航空航天園區奧音公司違反勞動法六個月後為員工繳五險,招聘員工多日後辭退”、“大港揚子江路航空航天園區4號奧音公司維修設備技工技師濫竽充數,出現問題先辱罵員工”、“大港揚子江路航空航天園4號奧音科技,你到底是不是好工廠”、“奧音科技有限公司非法雇傭未成年童工,有管理人員工作時間調戲女下屬”的網貼。2018年8月17日,原告奧音科技(鎮江)有限公司填寫鎮江網友之家帖子處理申請表,申請將上述網貼刪除。9月18日,原告制作書面申請函要求被告提供發帖人“大港大統華”的身份信息並將上述網貼刪除,但未能舉證證明該函寄出日期及被告簽收日期。9月21日,原告再次通過電子郵件形式向被告發送刪帖申請。9月24日,被告將上述網貼刪除。
原告提出訴訟,請求判令:1.被告立即停止侵害、公開道歉,賠償原告名譽損失1萬元;2.承擔本案全部訴訟費用。
被告辯稱:1.本被告於2018年9月24日收到原告書面投訴函後已經刪帖;2.網民“大港大統華”為網站實名賬號,網站無權向司法機關以外的其他方提供實名信息。
(二)法院認為
被告作為網絡服務提供者為網絡用戶提供電子公告服務,網絡用戶在被告論壇中發表文章眾多,不能苛求被告對網絡用戶發布的信息一一核實。原告於2018年8月17日填寫申請表,於9月21日向被告發出刪帖的通知,被告於9月24日對涉案網貼進行了刪除,並不存在故意拖延的情形。根據法律規定,網絡運營者不得泄露其收集的個人信息,未經被收集者同意,不得向他人提供個人信息。網民“大港大統華”為實名賬戶,被告拒絕向原告提供網民“大港大統華”個人真實身份信息的行為並無不當。綜上不能認定被告存在過錯,原告認為被告侵犯其名譽權的主張依據不足,本院不予支持。
(三)裁判結果
駁回原告奧音科技(鎮江)有限公司的訴訟請求。
三、戴某某與常州市公安局鐘樓分局不履行法定職責糾紛案
案例類型:法院二審判決
審理法院:江蘇省常州市中級人民法院
案號:(2018)蘇04行終16號
裁判日期:2018.02.12
相關法條:網絡安全法第四十四條,《人民警察法》第六條,《治安管理處罰法》第四十二條第六項,《行政訴訟法》第六十九條,《行政訴訟法》第八十九條第一款第一項
(一)案情簡介
2017年6月15日,北大街派出所接到群眾反映,大觀路有不穩定因素,社區民警於次日上午進行實地走訪,發現大觀路34號缪某某家中安裝的攝像頭有2個對著上訴人戴某某家。湯某某家中也安裝了攝像頭。缪某某、湯某某向民警反映戴某某向其家中傾倒垃圾。被上訴人常州市公安局鐘樓分局(以下簡稱鐘樓公安分局)經調查後認為,露天陽臺並非私密空間或個人生活場所,攝像頭所拍攝的內容不涉及戴某某隱私。缪某某、湯某某沒有對外發布、散布,實施相關牟利或造成戴某某名譽明顯減損的行為。2017年7月10日,鐘樓公安分局作出不予調查處理告知書,建議戴某某向其他有關主管機關報案或投訴。該告知書於次日送達戴某某。
戴某某認為鐘樓公安分局未依法履行法定職責,提起訴訟。一審法院認為,缪某某、湯某某攝像頭所拍攝的內容不涉及戴某某的隱私,二人的行為未違反《治安管理處罰法》第四十二條第(六)項的規定。另外,未發現缪某某、湯某某存在通過網絡對外發布、散布,實施相關牟利或者造成戴某某名譽明顯減損的行為,戴某某認為缪某某、湯某某的行為違反網絡安全法第四十四條的主張,不予采納。一審法院判決駁回戴某某的訴訟請求。
戴某某提起上訴,訴稱:1.原審認定事實錯誤。戴某某沒有向缪某某、湯某某家傾倒垃圾。2.原審適用法律錯誤。缪某某、湯某某違法使用探頭采集他人信息並對他人實施監控,違反了《治安管理處罰法》。3.鐘樓公安分局構成行政不作為。請求撤銷原判,改判支持戴某某一審的訴訟請求,訴訟費用由被上訴人承擔。
(二)法院認為
《治安管理處罰法》第四十二條第(六)項規定了對偷窺、偷拍、竊聽、散布他人隱私行為的處罰。缪某某和湯某某家中安裝的攝像頭,朝向戴某某家露天陽臺或大門,並非房屋內部個人生活私密空間,攝像頭所拍攝的內容不涉及戴某某隱私,該局據此認定戴某某的舉報不屬公安機關管轄,作出不予調查處理告知書,並無不當。戴某某的上訴理由不能成立。
(三)裁判結果
駁回上訴,維持原判。
四、趙某某違反《互聯網信息服務管理辦法》案
案例類型:行政處罰
處罰機構:無錫市公安局梁溪分局
案號:梁公(廣)行罰決字〔2018〕2762號
處罰日期:2018.11.21
相關法條:網絡安全法第四十四條、第六十四條第二款
(一)案情簡介
2018年4月7日,趙某某以人民幣1000元的價格向占某某非法購買公民信息53249條,後被公安機關查獲。
(二)處罰結果
對趙某某罰款五萬元。
作者簡介 PROFILE
壽步 國瓴名譽主任
壽步教授現為上海交通大學法學院教授、博士生導師,上海交通大學知識產權研究中心主任、網絡空間治理研究中心主任,中國法學會網絡與信息法學研究會副會長,中國科學技術法學會副會長、網絡空間法專業委員會主任,中國法學會知識產權法學研究會常務理事,中國法學會案例法學研究會常務理事,中華全國律師協會信息網絡與高新技術法律專業委員會顧問,上海知識產權法院特邀知識產權專家。
壽步教授長期從事法學與新技術交叉領域的法學研究、法學教育、法律實務工作,尤其是與計算機軟件、網絡遊戲、雲計算、網絡安全、數據安全、個人信息保護等相關的領域。
壽步教授已出版個人專著5部、合著4部、主編著作21部。代表性論著有《中國軟件版權訴訟實務》、《 計算機軟件著作權保護》、《軟件網絡和知識產權》、《軟件網絡訴訟代理實務》、《信息時代知識產權教程》等。
發表評論 取消回複